Les cybercriminels corrigeaient même des bugs dans les fausses applications dans lesquelles leurs logiciels malveillants se cachaient
Paume sur le visage : Mandrake est une cybermenace récurrente au sein de l'écosystème mobile Android. Les chercheurs ont découvert des applications infectées par Mandrake il y a quelques années, et le malware semble être de retour avec des techniques encore plus sophistiquées conçues pour échapper aux dernières protections de sécurité.
La famille de malwares Mandrake a été initialement découverte par Bitdefender en 2020. L'entreprise roumaine de cybersécurité a détecté la menace lors de deux vagues d'infection majeures, d'abord dans de fausses applications disponibles en téléchargement sur Google Play en 2016-2017, puis de nouveau en 2018-2020. La caractéristique la plus notable de Mandrake était sa capacité à passer sous le radar de Google et à infecter un grand nombre d'utilisateurs, estimé à plusieurs « centaines de milliers » sur quatre ans.
Les premières vagues d'infections de Mandrake ont utilisé plusieurs astuces pour dissimuler leur présence. Le malware était conçu pour délivrer sa charge malveillante finale à des victimes spécifiques et très ciblées, et il contenait même un kill switch « seppuku » capable d'effacer toute trace de l'infection d'un appareil.
Les fausses applications qui cachaient le malware Mandrake étaient des « leurres » parfaitement fonctionnels dans des catégories telles que la finance, l'automobile, les lecteurs vidéo et d'autres types d'applications populaires. Les cybercriminels, ou peut-être des développeurs tiers recrutés pour cette tâche, ont rapidement corrigé les bugs signalés par les utilisateurs dans la section commentaires du Play Store. De plus, des certificats TLS ont été utilisés pour masquer les communications entre le malware et les serveurs de commande et de contrôle (C&C).
Après avoir fait ses premières victimes, la famille de malwares Mandrake semblait avoir disparu de l'écosystème Android. Kaspersky a désormais découvert une nouvelle vague d'applications infectées, encore plus difficiles à détecter et à analyser qu'auparavant. Cette « nouvelle génération » utilise différentes couches d'obfuscation du code pour empêcher l'analyse et contourner les algorithmes d'analyse de Google, avec des contre-mesures spécifiques contre les techniques d'analyse basées sur le sandbox.
Kaspersky a noté que les auteurs de Mandrake possèdent de formidables compétences en codage, ce qui rend le malware encore plus difficile à détecter et à étudier. Selon l'entreprise de sécurité russe, l'application la plus récente contenant Mandrake a été mise à jour le 15 mars et a été supprimée de l'App Store à la fin du même mois. Ni Google ni des sociétés tierces n'ont été en mesure de signaler ces nouvelles applications comme étant malveillantes.
Malgré cette nouvelle vague d'applications leurres, l'objectif principal de Mandrake semble rester inchangé. Le malware est conçu pour voler les identifiants des utilisateurs en enregistrant ce qui se passe sur l'écran d'un téléphone et en envoyant ces enregistrements aux serveurs C&C. Il est également capable de télécharger et d'exécuter des charges utiles malveillantes supplémentaires.
Kaspersky n'a fourni aucune information supplémentaire ni spéculation sur les auteurs de Mandrake et leurs motivations. L'entreprise a identifié cinq applications différentes contenant le malware, que Google a finalement supprimé du Play Store.
